微軟在 Microsoft Ignite 大會上宣布針對 Windows 11 推出一系列重大安全與韌性的更新,微軟執行長 Satya Nadella 強調安全性是公司的首要任務,透過安全未來倡議 SFI (Secure Future Initiative) 的持續推動,Windows 正迎來架構層面的深層變革,本次更新聚焦於提升系統復原能力、強化權限管理以及為人工智慧時代做好準備,旨在協助公司組織應對日益複雜的資安威脅並縮短災害復原時間。
快速機器復原與生態系韌性強化
針對近期資安事件引發的系統中斷挑戰,微軟推出了快速復原功能,這項創新機制允許 IT 管理員透過 Windows Update 平台針對特定問題發送針對性修復程式,即使端點設備無法正常開機進入作業系統,也能透過 Windows 復原環境執行修復指令,這將大幅縮短公司從重大故障中恢復運作所需的時間,有效降低營運中斷的風險。
在提升韌性方面,微軟針對資安合作夥伴實施了更嚴格的規範,微軟病毒防護計畫 MVI 現在要求所有 Windows 端點安全產品必須符合更高標準的安全與可靠性要求,此外微軟正與合作夥伴共同開發新的防毒軟體架構,目標將更多的安全處理程序從核心模式移至使用者模式,這項變革的目的,在於設法減少核心驅動程式錯誤導致系統崩潰的機率,確保單一元件的故障不會影響整體系統的穩定性。
即時且最小化權限賦予機制,加強管理員保護功能
為了有效阻止駭客或攻擊者們利用管理員權限進行橫向移動,微軟推出了預覽版的管理員保護功能,在此模式下使用者預設僅擁有標準使用者權限,當需要執行系統變更或安裝軟體等任務時,系統會要求使用者透過 Windows Hello 進行身分驗證。
驗證通過後系統才會建立一個臨時且隔離的管理員權杖 (Token) 來執行該項任務,一旦任務完成該權杖即刻銷毀,這種即時且最小化的權限賦予機制能有效阻斷攻擊者竊取長期管理員憑證的攻擊鏈。
設定重新整理與零信任 DNS 防護
為了防止設定遭到惡意竄改或意外更動,微軟將設定重新整理功能導入至更多版本,該功能允許管理員設定策略,強制系統每隔30至90分鐘自動將設定重置為 MDM 鎖定的預設值,這項機制透過作業系統層級的強制執行,無需依賴持續的 MDM 連線即可維持設定的一致性。
在網路安全方面零信任 DNS 功能將正式進入預覽階段,該功能強制所有出站DNS查詢必須透過加密通道並僅能連線至受信任的網路目的地,這將大幅降低使用者誤觸惡意網站或遭受到中間人攻擊的風險。
Sysmon 原生整合與未來展望
另外,微軟也正式宣布將 Sysmon 功能原生整合至 Windows 11 及 Windows Server 2025,這項變革不僅消除了過往需手動下載與部署的繁瑣流程, Sysmon 將正式納入微軟的官方支援體系。
系統管理員未來只需透過開啟 Windows 功能選項並執行 Sysmon -i 指令即可快速啟用預設設定,後續的更新與修補將直接透過 Windows Update 自動派送,這能夠確保了所有端點都維持最新版本的防護能力並大幅降低維運風險。
此次整合遵循安全未來倡議(SFI)原則,並以預設內建方式來減少實際應用上的落差,實現設計安全的目標。Sysmon 本身具備的事件偵測能力涵蓋了從處理程序建立、網路連線到檔案變更等深層系統活動,例如偵測無檔案攻擊的命令行活動或異常的出站網路連線,微軟也透露未來的發展藍圖,計畫將進一步擴充 Sysmon 的企業級管理功能,並導入AI驅動的推論能力,預估 Sysmon 將從單純的日誌工具演進為更具智慧化的威脅偵測核心。
構建具備韌性的未來運算環境
微軟透過此次 Ignite 大會展示了重塑 Windows 安全架構的決心,從核心驅動程式的隔離到原生 Sysmon 的整合,每項功能都緊密對應安全未來倡議(SFI)的核心目標。
隨著 AI 人工智慧技術在商業環境中的應用日益普及,作業系統本身的韌性與可視性將成為防禦體系的基石,也為公司在面對未來更複雜的攻擊手法時,提供了更強大的防禦機制與復原能力。
本文題圖 Google Gemini AI 生成
